блог

29 декември 2016

PHP Mailer Liberers ги уништува веб-страниците секоја минута што не ја читате оваа статија

Неверодостоен оддалечен код извршување defenselessness направено PHPMailer, standout меѓу mossycup даб широко користени PHP-мејл испраќање на библиотеки, Може да се постави милиони сајтови Во опасност од тврдејќи хакерство.

Несовршеноста можеше да се најде кон специјалист за безбедност наречен Давид Голунски. Што повеќе почетна поправка би можеле да бидат вклучени во PHPMailer 5. 2. 18, кој можеби беше испразнет сабота. Сепак, излегува дека патавиумот можеби е несоодветен. Понатаму може да се заобиколи.

Библиотеката PHPMailer може да се користи специјално наизменично со импликација. Конечно, Том ги проучувал значајните содржини на содржини за надзор на рамки за економија (CMSs), вклучувајќи WordPress, Joomla Also Drupal. Местото каде библиотеката не може да се вклучи Претходно, нивниот центар код, ќе биде наклонет достапен Во врска со илустрацијата Посебен модул наизменично може да се пакува со додатоци на трети страни.

Поради ова, камионот на овие маана се разликува почнувајќи од веб-страницата со веб-страница. На пример, оние безбедносни соработници на Џомла диктираа дека оние класови Џомла Џејмл, која зависи од PHPMailer, имаат потреба од дополнителни валидации кои се постават за да се искористат нелогичното користење на беспомошност.

Несовршеноста ќе биде иницирана кон недоволно прифаќање на информациите за е-пошта на испраќачот. Исто така, може да дозволи напаѓачот да натовари командни команди што може да се извршат на веб-серверот во поставувањето на проектот sendmail.

Сепак, големата злоупотреба ги обврзува оние блиски на веб-манифестации на веб-страницата дека вработувањата PHPMailer ќе испраќаат пораки Исто така дозволи внесување на локација за е-пошта на испраќачот - локацијата што се појавува во насловот на е-поштата. Нејзиното не е разумно колку редовни се такви конфигурации, вообичаено на веб-манифестации ја доверуваат е-поштата на испраќачот. Исто така, најдобрата дозвола на клиентите треба да ја информира нивната е-адреса. Слично како корисник.

"Сите точки во центарот за Joomla API кои испраќаат пошта ја користат адресата на испраќачот поставена во светската конфигурација. Исто така, не смета дека информациите за клиентите треба да имаат шанса да бидат сместени на друго место", се вели во извештајот за безбедносната соработка на Џумла. "Сепак, екстензии кои спакуваат. Диференцијалната адаптација на PHPMailer наизменично не го користи Joomla API со испраќање на е-пошта може да има шанса да биде беспомошна ако ова прашање. ".
Програмерите на WordPress пристигнаа на компаративен заклучок, забележувајќи го на сопствениот тракер за бубачки дека внатрешната работа на wp_mail (), користена кон кодот на WordPress, не може да биде под влијание на тоа, не ја користи немоќната PHPMailer карактеристика. Приклучоците на трети страни кои користат wp_mail () ефективно треба хипотетички да не влијаат, но сепак, може да биде под контрола на одредени приклучоци.

"Се приближува 4. 7. Пристигнувањето на 1 ќе има бројни олеснувања за овие прашања ", рече Дион Хулс, водечки дизајнер на WordPress. "Ние сме поднесени со само превозот безбедни библиотеки за WordPress - во секој случај ако ние ја користиме карактеристиката или не. ".
Друпалската група за безбедност, исто така, постави Безбедносен извештај за ова прашање. Што повеќе го проверуваат како критично, и покрај тоа што центарот на Друпал нема да биде под влијание. Конечно, Том ќе ги проследи тие несовршености.

"Со оглед на неверојатната критичност за ова прашање и времето за неговото испуштање, издаваме публикација на Општа публикација на населението со претпазливост, можеби и под влијание на одржувачите на Друпал", рече таа соработка.

На воведниот посебен камилица може да биде заобиколен и може да биде достапен општ кодекс на злоупотреба на населението, тие беспомошност треба статус на нула - тоа ќе биде јавно споменато и неоткриено. Понатаму, директен резултат на тој ефект варира од веб-страница до веб-страница, потпирајќи се на тоа како PHPMailer може да се користи, не постои едноставен пристап за веб-администраторите да го ослободат прашањето без внимателна проценка.

Претпоставувајќи дека тие користење PHPMailer јасно Претходно, кодот на нивниот веб-сајт, тие треба да ремонт библиотеката на најновите patchcord стипендираат толку брзо. Слично како и отпуштени. Тие треба дополнително да ја зајакнат, исто така, да дознаат дали на она што е за контакт на нивниот веб-сајт, повратни информации, регистрација, ресетирање на е-пошта. Освен тоа, различни типови пренесуваат пораки за оние помош од беспомошна препевот на PHPMailer. Што повеќе се претпоставува дека напаѓачот на можноста би можел да ја информира локацијата за е-пошта на испраќачот.

На тие искористување на рамка за администрирање на супстанции, тие треба дополнително да ја зајакнат својата тежина на веб-страницата за помош, за да дознаат дали нејзиното влијание се сврте кон паралелното поставување. Потоа тие треба да ги оценуваат оние кои се нишаат за било кој На трети лица plug-in наизменично модули кои им се потребни воведе Исто така, кои можат да го користат PHPMailer на своја.

&bsp

GTranslate Your license is inactive or expired, please subscribe again!